Raccogliere i log di Snort
Questo documento spiega come raccogliere i log di Snort in Google Security Operations utilizzando Bindplane. Il parser tenta di gestire due diversi formati di log Snort (SYSLOG + JSON) utilizzando i pattern grok per estrarre i campi pertinenti. A seconda del formato identificato, elabora ulteriormente i dati, mappando i campi estratti allo schema Unified modello dei dati (UDM), normalizzando i valori e arricchendo l'output con un contesto aggiuntivo.
Prima di iniziare
- Assicurati di avere un'istanza Google Security Operations.
- Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con
systemd. - Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
- Assicurati di disporre dell'accesso privilegiato a Snort.
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installazione di Windows
- Apri il prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installazione di Linux
- Apri un terminale con privilegi di root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Risorse aggiuntive per l'installazione
- Per ulteriori opzioni di installazione, consulta questa guida all'installazione.
Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps
Accedi al file di configurazione:
- Individua il file
config.yaml. In genere, si trova nella directory/etc/bindplane-agent/su Linux o nella directory di installazione su Windows. - Apri il file utilizzando un editor di testo (ad esempio
nano,vio Blocco note).
- Individua il file
Modifica il file
config.yamlcome segue:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: SNORT_IDS raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsSostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci
<customer_id>con l'ID cliente effettivo.Aggiorna
/path/to/ingestion-authentication-file.jsonal percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux, esegui questo comando:
sudo systemctl restart bindplane-agentPer riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configura l'esportazione di syslog su Snort v2.x
- Accedi al dispositivo Snort utilizzando il terminale.
- Modifica il seguente file:
/etc/snort/snort.conf - Vai a
6) Configure output plugins. Aggiungi la seguente voce:
# syslog output alert_syslog: host=BINDPLANE_IP_ADDRESS:PORT_NUMBER, LOG_AUTH LOG_ALERTSostituisci quanto segue:
- BINDPLANE_IP_ADDRESS: Bindplane Agent IP address.
- PORT_NUMBER: Bindplane Agent port number.
Salva il file.
Avvia il servizio snort.
Arresta il servizio rsyslog.
Modifica il seguente file:
/etc/rsyslogd.conf# remote host is: name/ip:port *.* @@BINDPLANE_IP_ADDRESS:PORT_NUMBERSostituisci quanto segue:
- BINDPLANE_IP_ADDRESS: Bindplane Agent IP address.
- PORT_NUMBER: Bindplane Agent port number.
Avvia il servizio rsyslog.
Configura l'esportazione syslog su Snort v3.1.53
- Accedi al dispositivo Snort utilizzando il terminale.
- Arresta i servizi rsyslog e snort.
- Vai alla seguente directory di installazione di Snort:
/usr/local/etc/snort/ Modifica il seguente file di configurazione di Snort:
snort.luaNelle opzioni Configura output, aggiungi il seguente codice (puoi utilizzare qualsiasi struttura e livello):
alert_syslog = { facility = 'local3', level = 'info', }Salva il file di configurazione di Snort.
Vai alla directory dei file di configurazione predefinita del servizio rsyslog:
/etc/rsyslog.dCrea un nuovo file:
3-snort.conf:# cd /etc/rsyslog.d # vi 3-snort.confPer inviare i log tramite TCP o UDP, aggiungi la seguente configurazione:
local3.* @@BINDPLANE_IP_ADDRESS:PORT_NUMBERSostituisci quanto segue:
- BINDPLANE_IP_ADDRESS: Bindplane agent IP address.
- PORT_NUMBER: Bindplane agent port number.
Salva il file.
Avvia rsyslog e poi il servizio snort.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| agent.hostname | observer.hostname | Valore estratto dal campo agent.hostname nel log non elaborato. |
| agent.id | observer.asset_id | Valore estratto dal campo agent.id nel log non elaborato e concatenato con agent.type nel seguente modo: agent.type:agent.id. |
| agent.type | observer.application | Valore estratto dal campo agent.type nel log non elaborato. |
| agent.version | observer.platform_version | Valore estratto dal campo agent.version nel log non elaborato. |
| alert.category | security_result.category_details | Valore estratto dal campo alert.category nel log non elaborato. |
| alert.rev | security_result.rule_version | Valore estratto dal campo alert.rev nel log non elaborato. |
| alert.rule | security_result.summary | Valore estratto dal campo alert.rule nel log non elaborato, con le virgolette doppie rimosse. |
| alert.severity | security_result.severity | Se alert.severity è maggiore o uguale a 4, imposta LOW. Se alert.severity è 2 o 3, imposta su MEDIUM. Se alert.severity è 1, impostalo su HIGH. In caso contrario, imposta il valore su UNKNOWN_SEVERITY. |
| alert.signature | security_result.rule_name | Valore estratto dal campo alert.signature nel log non elaborato. |
| alert.signature_id | security_result.rule_id | Valore estratto dal campo alert.signature_id nel log non elaborato. |
| app_proto | network.application_protocol | Se app_proto è dns, smb o http, converti in maiuscolo e utilizza questo valore. In caso contrario, imposta il valore su UNKNOWN_APPLICATION_PROTOCOL. |
| categoria | security_result.category | Se category è trojan-activity, impostalo su NETWORK_MALICIOUS. Se category è policy-violation, impostalo su POLICY_VIOLATION. In caso contrario, imposta il valore su UNKNOWN_CATEGORY. |
| classtype | security_result.rule_type | Valore estratto dal campo classtype nel log non elaborato, se non è vuoto o unknown. |
| community_id | network.community_id | Valore estratto dal campo community_id nel log non elaborato. |
| date_log | Utilizzato per impostare il timestamp dell'evento se il campo time è vuoto. |
|
| decr | metadata.description | Valore estratto dal campo desc nel log non elaborato. |
| dest_ip | target.ip | Valore estratto dal campo dest_ip nel log non elaborato. |
| dest_port | target.port | Valore estratto dal campo dest_port nel log non elaborato e convertito in numero intero. |
| dstport | target.port | Valore estratto dal campo dstport nel log non elaborato e convertito in numero intero. |
| file.filename | security_result.about.file.full_path | Valore estratto dal campo file.filename nel log non elaborato, se non è vuoto o /. |
| file.size | security_result.about.file.size | Valore estratto dal campo file.size nel log non elaborato e convertito in numero intero senza segno. |
| host.name | principal.hostname | Valore estratto dal campo host.name nel log non elaborato. |
| nome host | principal.hostname | Valore estratto dal campo hostname nel log non elaborato. |
| inter_host | intermediary.hostname | Valore estratto dal campo inter_host nel log non elaborato. |
| log.file.path | principal.process.file.full_path | Valore estratto dal campo log.file.path nel log non elaborato. |
| metadata.version | metadata.product_version | Valore estratto dal campo metadata.version nel log non elaborato. |
| proto | network.ip_protocol | Valore estratto dal campo proto nel log non elaborato. Se è un numero, viene convertito nel nome del protocollo IP corrispondente utilizzando una tabella di ricerca. |
| rule_name | security_result.rule_name | Valore estratto dal campo rule_name nel log non elaborato. |
| signature_id | security_result.rule_id | Valore estratto dal campo signature_id nel log non elaborato. |
| signature_rev | security_result.rule_version | Valore estratto dal campo signature_rev nel log non elaborato. |
| src_ip | principal.ip | Valore estratto dal campo src_ip nel log non elaborato. |
| src_port | principal.port | Valore estratto dal campo src_port nel log non elaborato e convertito in numero intero. |
| srcport | principal.port | Valore estratto dal campo srcport nel log non elaborato e convertito in numero intero. |
| tempo | Utilizzato per impostare il timestamp dell'evento. | |
| metadata.event_type | Sempre impostato su SCAN_NETWORK. |
|
| metadata.log_type | Codificato in modo permanente su SNORT_IDS. |
|
| metadata.product_name | Codificato in modo permanente su SNORT_IDS. |
|
| metadata.vendor_name | Codificato in modo permanente su SNORT. |
|
| security_result.action | Imposta su ALLOW se alert.action è allowed, altrimenti imposta su UNKNOWN_ACTION. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.